信息安全技术导论chap04

-1-第四章密钥管理-2-第四章密钥管理与PKI技术11.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-3-概述现代密码技术的一个特点是密码算法公开，所以在密码系统中密钥才是系统真正的秘密。在任何安全系统中，密钥的安全管理都是一个关键因素。因为如果密钥本身得不到安全保护，那么设计上再好的密码系统都是徒劳的。在现实世界里，密钥管理是密码应用领域中最困难的部分。-4-第四章密钥管理与PKI技术21.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-5-密钥分类-6-密钥生命周期-7-密钥的产生1.随机产生2.注意弱密钥问题-8-密钥建立技术需要满足的性质（1）数据保密（DataConfidentiality）。（2）篡改检测（ModificationDetection）。（3）身份认证（EntityAuthentication）。（4）密钥的新鲜度（KeyFreshness）。（5）密钥控制（KeyControl）。（6）密钥的隐式鉴别（ImplicitKeyAuthentication）。（7）密钥的确信（KeyConfirmation）。（8）向前的秘密（PerfectForwardSecrecy）。（9）效率（Efficiency）-9-密钥的层次结构（1）主密钥（MasterKey）。主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只能用人工方式建立。（2）加密密钥的密钥（Key-encryptingKeys）。在密钥传输协议中加密其他密钥（如会话密钥）。这种密钥保护其下层的密钥能够安全地传输。（3）数据密钥（DataKeys）。处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全地传输。-10-密钥的生命周期模型-11-第四章密钥管理与PKI技术31.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-12-点对点密钥建立模型-13-在同一信任域中的密钥建立模型-14-在多个信任域中的密钥建立模型-15-第四章密钥管理与PKI技术41.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-16-鉴别树-17-基于身份认证的系统-18-第四章密钥管理与PKI技术51.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-19-使用对称密码技术的密钥传输机制-20-Shamir设计的3次传递协议-21-使用对称密码技术和可信第三方的密钥传输机制-22-使用公钥密码技术的点到点的密钥传输机制-23-同时使用公钥密码技术和对称密码技术的密钥传输机制-24-第四章密钥管理与PKI技术61.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-25-基本密钥导出新的会话密钥K是由通信双方A和B共享的密钥KAB和一个不用保密的参数F通过合适的方式计算出来的。在如下的密钥导出机制中包括两个步骤：①A选择密钥导出的参数F，F可以是一个随机数或时间戳，然后将F传给B。②A和B双方都可以根据密钥导出参数F和它们之间的共享密钥KAB，计算出导出密钥K：K=f(KAB,F)-26-可鉴别的密钥导出-27-树状的密钥导出-28-优化的树状的密钥导出-29-第四章密钥管理与PKI技术71.密钥管理概述2.基本概念3.密钥建立模型4.公钥传输机制5.密钥传输机制6.密钥导出机制7.PKI技术-30-PKI的主要功能产生、验证和分发密钥。签名和验证。获取证书。申请证书作废。获取CRL。密钥更新。审计。-31-PKI的结构-32-CA系统框架-33-PKI系统标准PKCS系列标准:PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书废除表发布、扩展证书内容、数字签名、数字信封格式等一系列相关协议。数字证书与X.509标准：国际电信联盟ITUX.509协议，是PKI技术体系中应用最广泛、也是最基础的一个国际标准。它的主要目的在于定义一个规范的数字证书格式，以便为基于X.500协议的目录服务提供一种强认证手段。-34-PKI系统的典型应用虚拟专用网络:虚拟专用网络（VPN）是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如IPSec）和建立在PKI上的加密与签名技术来获得安全性保护。安全电子邮件：安全电子邮件协议S/MIME（TheSecureMultipurposeInternetMailExtension）。Web安全：SSL（SecureSocketsLayer）协议是互联网中访问Web服务器最重要的安全协议。电子交易：SET安全电子交易协议采用公钥密码体制和X.509数字证书标准，主要应用于B2C模式中，以保障支付信息的安全性。-35-PKI接口